Scharping-FVB

vor 15 Stunden schrieb Sunny61:

Das hattest Du mit W10 ja auch schon machen müssen. Außer Du hattest die LTSC Editionen im Einsatz, dann ist für 10 Jahre Ruhe.

Stimmt, wir haben vor einiger Zeit alles auf 22H2 umgestellt.
Das ging ja glücklicherweise In-Place über den WSUS, also mit geringem Aufwand.

Und danach war Ruhe, weil 22H2 als letzte Version dann doch mehr als zwei Jahre Extended Support hatte.

vor 1 Minute schrieb testperson:

Hi,

 

das betrifft Windows 11 Enterprise und Education. Für Pro ud Home ist für 23H2 im November 2025 Schluss. Allerdings wird Windows 11 24H2 Pro wohl wieder 2 Jahre Support oben drauf bekommen.

• Windows 11 Home und Pro - Microsoft Lifecycle | Microsoft Learn
• Windows 11 Enterprise und Education - Microsoft Lifecycle | Microsoft Learn

Gruß

Jan

Das bedeutet ja trotzdem, dass ich alle zwei Jahre eine neue Version von Windows 11 testen und evaluieren muss.

Ich meine, dass Windows 10 22H2 mehr als nur zwei Jahre Support bekommen hat. Oder deswegen, weil es das letzte Windows 10 war?

Liebs Forum,

bei uns steht das Ende von Windows 10 an und wir suchen nach einem (Windows) Nachfolger. Für Windows 10 ist der Extended Support im Oktober 2025 zu Ende.

Über das Supportende von Win11 finde ich nur November 2026 für 23H2.

Ich vermute, dass ist der "normale" Support, aber für den Extended Support (oder wie der heißt), bei dem es nur noch Sicherheitsupdates, aber keine neuen Funktionen gibt, finde ich nichts.

Hat jemand eine Microsoft-Seite, auf der das steht?

Viele Grüße

Davorin

vor 1 Stunde schrieb MurdocX:

Hallo,

 

helfen könnte noch:

• Den Dienst auf "Verzögerten Start" zu stellen
• Network location awareness not detecting domain network from offsite location - Microsoft Q&A

Danke, das scheint eine der einfacheren Lösungen zu sein,

Ich werde die Reg-Keys einfach per GPO auf die Server und Clients verteilen.

vor 8 Stunden schrieb MurdocX:

Hallo,

 

es gibt die Möglichkeit "Auf das Netzwerk warten" als GPO.

Wurden unter den DNS-Einstellungen der aktiven Netzwerkkarte ausschließlich Domaincontroller für die Clients hinterlegt? Oder finden sich bspw. die Firewall oder andere DNS-Server in der Liste?

 

VG,
Jan

Die GPO ist aktiv (Always - 60 Sekunden Wartezeit) und in den IP Einstellungen sind nur die DC als DNS-Server eingetragen.

Liebes Forum,

hin und wieder geht bei einigen unserer Win10 VMs die Kennung des Netzwerks beim automatischen Neustart nach Windows Updates verloren. Das Netzwerk wird nicht mehr als Domain erkannt und somit wird die Firewall aktiviert und es ist keine Domäne und kein Internet mehr verfügbar.

Eine richtig funktionierende Lösung habe ich dazu nicht gefunden, wie kann ich das verhindern, dass die Netzwerkkennung verloren geht?

Viele Grüße

Davorin

Danke für die schnelle und funktionierende Antwort :-D

Liebes Forum,

ich möchte konkret diese Ausgabe in eine Zahl umwandeln:

$targetGroup = "Domain Users"
$targetGroupPrimaryID = Get-ADGroup $targetGroup -Properties PrimaryGroupToken | select PrimaryGroupToken
 

Das Ergebnis ist:

PrimaryGroupToken
-----------------
              513
 

Ich hätte gerne den Token als Zahl "513", wie komme ich an diesen Wert ran?

Out-String macht mir einen dreizeiligen String.

Viele Grüße

Davorin

vor 1 Minute schrieb LK28:

Schau dir mal Lösungen von CyberArk an, Delinea Secret Server, Fudo PAM an.

Danke, das mache ich

vor 6 Minuten schrieb LK28:

 

Ich als Admin/Dienstleister möchte meine Admin Passwörter beim Kunden doch am besten gar nicht mehr wissen, schon gar nicht die Passwörter händisch auf Aufforderung ändern, sondern das Passwortmanagement durch PAM regeln lassen. Was auch den netten Vorteil mit sich bringt, dass man das unbekannte Passwort nicht mal mehr kopieren und einfügen muss.

Wie funktioniert das mit der nicht-händischen Eingabe?
Wenn ich nach "PAM" google, kommen nur allgemeine Aussagen. PAM ist demnach ein Konzept, kein Programm, das Kennwörter automatisch in Eingabefelder einsetzt.
Oder gibt es da eine Lösung, die so ähnlich funktioniert, wie das AutoType von KeePass?

Gerade eben schrieb Damian:

@Scharping-FVB Du hast aber schon mitbekommen, wie alt diese Diskussion ist?

 

VG

Damian

Ja, und ist das Thema deswegen nicht mehr aktuell?

Ich wollte nicht einen neuen eröffnen, zu genau dieser Aussage.

Denn genau um die Aussage von Evgenij geht es mir.
 

Am 6.9.2022 um 15:29 schrieb cj_berlin:

Moin,

solange in der Umgebung NTLM und/oder RC4 in Kerberos aktiv sind, ist ein Kennwortwechsel nach wie vor das einzige wirksame Mittel gegen Pass-The-Hash (nicht zur Vorbeugung, wohlgemerkt, sondern nur zur Eingrenzung).

Das bedeutet ja, dass ich das Kennwort wöchentlich ändern sollte.
Denn mit PtH wird ja nicht das Kennwort "geklaut", sondern nur der Hash, das Kennwort ist dadurch nicht bekannt. Allerdings kann der Angreifer, sobald sein Hash nicht mehr funktioniert, einfach den neuen Hash des neuen Kennworts auf dem schon erfolgreichen Weg erneut klauen.
Dann wäre eine sehr sehr häufige Änderung die einzige wirksame Gegenmaßnahe.

Oder übersehe ich da etwas?

Am 13.1.2024 um 09:22 schrieb lukas2002:

Dann haben wir das ja schonmal.

 

 

 

Dafür setzt du die Richtlinien:

Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Datei-Explorer

-> Windows Defender SmartScreen aktivieren (aktiviert - Warnen und Umgehung verhindern)

Das hat leider nicht funktioniert. Das war schon genauso eingestellt.
Es bleibt ausgegraut und laut "Knopf" ausgeschaltet :-(

vor 11 Stunden schrieb daabm:

 

Zweimal nachdenken... GPOs und Central Store haben nichts miteinander zu tun - gar nichts. Ist nur zufällig der gleiche Share. Und GPOs liegen nicht "auf dem Domain Controller", sondern in Sysvol.

 

Ansonsten bin ich bei @Sunny61 - NIEMAND will einen Central Store. Größter Müll, den sich MS bei GPOs je hat einfallen lassen. GPResult dauert ewig, GPO bearbeiten dauert ewig, konfliktierende ADMX führen zu Nichtverwaltbarkeit, alle angeschlossenen OS müssen alles unterstützen, was grad da drin liegt. Und das Teil zu aktualisieren wird auch so oft vergessen, daß int32 schon lange übergelaufen ist.

Haltet bitte diese Grundsatzdiskussion hier heraus, das hilft mir nicht weiter, bei meinem Problem.

Danke

vor 11 Stunden schrieb NorbertFe:

Warum /forrce? Wirds dann wichtiger ausgeführt oder fühlt sich der Admin dann besser? ;)

Haltet bitte diese Grundsatzdiskussion hier heraus, das hilft mir nicht weiter, bei meinem Problem.

Danke

vor 12 Stunden schrieb lukas2002:

Also ich habe gerade eben extra mal die Funktionen deaktiviert und dann fehlt bei mir genauso der Haken wie bei dir. Aktiviere ich die drei Punkte ist der Haken gesetzt. 

 

Ich habe es jetzt nochmal ausprobiert, die genau richtige Richtlinie ist folgende.

Computerkonfiguration -> Administrative Vorlagen -> Microsoft Edge -> SmartScreen-Einstellungen 

-> Microsoft Defender SmartScreen konfigurieren, um potenziell unerwünschte Apps zu blockieren (aktivieren)

 

 

Setz die mal und führe danach mal ein "Gpupdate /force" aus.

 

Als Nicht-Admin habe ich nur den Ein- Aus-Knopf

Mit einer neuen GPO funktioniert es nun

Mal schauen, ob es auch den gewünschten Effekt hat. Bei Downloads sollen gewarnt werden, aber mit ein paar Klicks sollen die trotzdem möglich sein.

Und das muss ich auch noch lösen:

Das sollte ja auch an sein.

vor 3 Stunden schrieb lukas2002:

Hallo,

 

das ist verknüpft mit dem Microsoft Edge.

Du musst dir als erstes die Templates vom Microsoft Edge downloaden und die Templates auf dem Domänencontroller hinzufügen.

Danach konfigurierst du die folgenden Einträge in einer Gruppenrichtlinie.

 

Computerkonfiguration -> Administrative Vorlagen -> Microsoft Edge -> SmartScreen-Einstellungen 

-> Microsoft Defender SmartScreen konfigurieren (aktiviert)

-> Microsoft Defender SmartScreen konfigurieren, um potenziell unerwünschte Apps zu blockieren (aktivieren)

-> Überprüfung von Downloads von vertrauenswürdigen Quellen durch Microsoft Defender SmartScreen erzwingen (aktiviert)

 

 

Kann sein das es auch nicht alle Richtlinien sein müssen, aber so funktioniert es auf jeden Fall.

 

 

Gruß

Lukas

Prinzipiell funktioniert das, aber genau der Haken, der im Screenshot fehlt, lässt sich nicht setzen :-(

Das blöde ist, dass dieser Haken bei unseren Usern hin und wieder einfach verschwindet, obwohl der Haken manuell vom User gesetzt wurde. Wahrscheinlich ein Windows Patch, der da rein pfuscht...

Liebes Forum,

immer wieder wird bei Windows 10 diese Einstellung herausgenommen:

Nun kann ich einfach den Haken setzen, aber ich renne ja nicht jede Woche rum und prüfe das bei 100 Laptops...

Ich finde dazu allerdings keine GPO-Einstellung, nur die, mit der der Schieber auf "Ein" gesetzt werden kann:

Computer-Windows Components - Microsoft Defender Antivirus -

Eine Einstellung für die Haken finde ich nicht.

Kennt jemand die Einstellungen für die Haken, zumindest für den Haken bei "Downloads"?

Viele Grüße

Davorin

vor 11 Stunden schrieb Userle:

 

Aus der Doku:

Das habe ich auch gesehen, aber wie kommst du dann auf

https://duckduckgo.com/?q={searchTerms} 

Müsste doch, analog zur Doku, eigentlich sein:

https://search,duckduckgo.com/search?q={searchTerms}

Und für Google soll es laut Beispiel sein:

https://www.google.com/searchdomaincheck?format=opensearch

Also für jeden Suchanbieter etwas anders.

Das war ja mein Problem.

Aber darüber müssen wir hier nicht diskutieren, das Problem ist ja gelöst, dank deiner Hilfe

vor 1 Minute schrieb Sunny61:

Hast Du denn auch die aktuellsten ADM-Templates in Verwendung?

Ja, letzte Woche heruntergeladen.

vor einer Stunde schrieb Userle:

Wenn ich die Doku richtig lese sollte der Link wohl so aussehen: https://duckduckgo.com/?q={searchTerms} 

 

Greetings Ralf

Ja, das hat geklappt

Welche Doku meinst du? Bei der vom Edge steht ja nur eine Erklärung, aber keine Parameter wie die URL, die du herausgefunden hast.

Danke für den Hinweis, da habe ich eine URL gefunden, doch als GPO gesetzt, ist die fehlerhaft:

Auch für Yahoo und sogar Bing (={bing:baseURL}search?q=%s&{bing:cvid}{bing:msb}{google:assistedQueryStats} erscheint dieser Fehler.

Da ist noch etwas nicht richtig, mit der URL oder der GPO.

Noch eine andere Idee?

Liebes Forum,

ich möchte die Default Search Engine per GPO auf DuckDuckGo setzen.

Im Internet finde ich leider nur Anleitungen, wie Google gesetzt wird und keine Einzelheiten, welche Parameter DuckDuckGo nutzt.

Ich habe diese GPP-Parameter genommen und "ggogle" durch "duckduckgo" ersetzt, das funktioniert aber nicht.

Wahrscheinlich benötigt DuckDuckGo eine andere Syntax, die ich jedoch nicht finden konnte.

Kann mir jemand helfen, mit den richtigen Parametern?

Viele Grüße

Davorin

Gerade eben schrieb Nobbyaushb:

Wegen der angemeckerten Ladezeit

Und auch die ISE muss als Administrator ausgeführt werden 

Bin jetzt einige Zeit offline 

Ah, ok, lädt woanders schneller

Ja, die ISE führe ich immer als Admin aus.

Gerade eben schrieb testperson:

Hi,

 

lade nicht das Add-In, baue eine Session zum Exchange auf:

$ExchSRV = Get-ADGroupMember -Identity "Exchange Servers" |
    Where-Object { $_.objectClass -eq "computer" } |
        Select-Object -First 1
$ExchSRV = Get-ADComputer -Identity $ExchSRV.distinguishedName `
    -Properties DNSHostName
$ExchConUri = -join("http://", `
        $ExchSRV.DNSHostName , `
        "/PowerShell" `
    )
$ExSession = New-PSSession -ConfigurationName Microsoft.Exchange `
    -ConnectionUri $ExchConUri
Import-PSSession -Session $ExSession -DisableNameChecking `
    -AllowClobber

# Hier geht es dann mit den Exchange CMDlets los

 

Gruß

Jan

Ich starte die ISE als Domain-Admin auf dem Mailserver. Dann muss ich doch keine Verbindung mehr aufbauen.

Das Seltsame ist ja, dass dieses Skript schon seit "Jahren" so funktioniert. Erst seit ich "Protected User" bin , nicht mehr. Zumindest ist da ein zeitlicher Zusammenhang.

Liebe Leute, es lag an "Protected Users".

Nachdem ich mich wieder entfernt habe, klappt es mit Add-MailboxFolderPermission wieder.

Da scheinen doch einige Hürden im Hintergrund aufgebaut zu werden.

Ist ja gut so gegen Angreifer, aber nicht gut für Exchange-Admins.

Da muss ich mir was überlegen, wie ich das löse.

Vielen Dank an alle, die sich Gedanken gemacht haben

vor 11 Minuten schrieb Nobbyaushb:

Hast du die Mailadresse des/der User genommen?

Und das ist die Exchange Shell?

Alias oder Mailadresse ist egal

vor 3 Minuten schrieb Nobbyaushb:

Du kannst die Management Tools auch auf einem anderen Server installieren, ich denke es geht sogar ein Windows Client

Ich verstehe nicht, was das in diesem Fall hilft, ich möchte die ISE nutzen. Die öffne ich direkt auf einem der beiden Mailserver.

Get-Mailbox liefert Ergebnisse, in der Admin-ISE.

Ich nutze die ISE mit dem Exchange-AddIn, die Management Shell braucht so ewig zum starten und da kann ich die Skripte nicht so schön einfach anpassen.

In der Shell funktioniert es aber.

Get-MailboxPermission klappt in der ISE

Get-MailboxFolderPermission klappt nicht in der ISE

Fehlt da (auf einmal) ein Impersonate Recht für meinen Admin -User?

Liebes Forum,

ich bekomme diese Fehlermeldung beim Versuch die Berechtigungen auf einen Kalender zu ändern:

PS C:\Windows\system32>  Add-MailboxFolderPermission "matthias.xxx:\kalender" -User elisabeth.xxx-AccessRights LimitedDetails
Add-MailboxFolderPermission : The specified mailbox "matthias.xxx" doesn't exist.
At line:1 char:2
+  Add-MailboxFolderPermission "matthias.xxx:\kalender" -User elisabe ...
+  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Add-MailboxFolderPermission], ManagementObjectNotFoundException
    + FullyQualifiedErrorId : [Server=MAIL1,RequestId=6c9a4bf8-cc93-4e2c-b4c5-38a99885d86d,TimeStamp=21.12.2023 06:57:45] [FailureCategory=Cmdlet-ManagementObjectNotFoundException] E7230843,Microsoft.Ex 
   change.Management.StoreTasks.AddMailboxFolderPermission

"Früher" ging es. Ich bin mit meinem Admin-User in die Gruppe der "Protected Users" gewechselt, kann das damit zusammenhängen?

Viele Grüße

Davorin

vor 4 Stunden schrieb cj_berlin:

Moin,

 

kannst Du mal checken, ob sie

 

a. die typischen Autodiscover-Artefakte hat (z.B. Abwesenheit einrichten usw.)

b. einen frisch angelegten Kontaktordner in ihrem eigenen Postfach als Adressbuch einrichten kann?

Welches sind denn typische Autodiscover-Artefakte?

Das sagt mir nichts :-(

b. wird getestet

vor 1 Stunde schrieb testperson:

Hi,

 

hilft ggfs. ein neues Outlook Profil?

 

Gruß

Jan

werden wir baldigst testen